绕过IceSword文件检测的Trojan.Win32.Mnless.zpc/ojj6erv.sys

最新推荐文章于 2024-08-07 21:17:44 发布
最新推荐文章于 2024-08-07 21:17:44 发布
阅读量1.9k 收藏
点赞数
分类专栏: 系统维护 文章标签: microsoft 杀毒软件 system windows c 磁盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1904076
版权

绕过IceSword文件检测的Trojan-Downloader.Win32.Hmir.hw/Trojan.Win32.Mnless.zpc/ojj6erv.sys

endurer 原创
2007-11-27 第1

一位网友说他前两天浏览一个文学网站时中毒,现在电脑每天都能用杀毒软件扫描出一些网游盗号木马、QQ盗号木马等病毒。现在开机出现提示框,提示找不到文件f5bk37q187.dll。IE首页被改为 hxxp://***.k*zd**h.com/?g。让偶帮忙检查。

下载 pe_xscan 扫描 log,由于刚刚用杀毒软件进行了系统扫描,所以在 log 中只发现一些启动项:

/---
pe_xscan 07-11-25 by Purple Endurer
2007-11-27 12:23:32
Windows XP Service Pack 2(5.1.2600)
管理员用户组
 


O23 - 服务: 0jj6erv (0jj6erv) - System32/DRIVERS/0jj6erv.sys(引导)
O23 - 服务: ADProt (ADProt) - system32/drivers/ADProt.sys(引导)
O23 - 服务: PciHardDisk (PciHardDisk) - C:/WINDOWS/system32/drivers/pcidisk.sys(手动)
O23 - 服务: Tcpip (TCP/IP Protocol Driver) - system32/DRIVERS/tcpip.sys | Microsoft? Windows? Operating System | 5.1.2600.2892 | TCP/IP Protocol Driver | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2892 (xpsp.060420-0256) | Microsoft Corporation| ? | tcpip.sys | tcpip.sys(系统)
---/

 

用winRAR检查文件,发现O23 - 服务: Tcpip (TCP/IP Protocol Driver)中 tcpip.sys这个文件的最后修改日期是2007-11-23号,在c:/windows/system32/drivers 发现了文件 TCPIP.SYS.ORIGINAL,经比较:

C:/WINDOWS/system32/drivers>fc tcpip.sys TCPIP.SYS.ORIGINAL
正在比较文件 TCPIP.SYS 和 TCPIP.SYS.ORIGINAL
00000130: 92 F6
00000131: EC EB
0004F7C6: 00 64
0004F7C7: 01 00

发现两个文件不一样。

可惜 http://purpleendurer.ys168.com 不知什么原因打不开,未能下载 FileInfo 提取文件信息。
把 tcpip.sys 打包备份,然后用网友电脑中原来存有的 IceSword 1.12 英文版强删除,Windows系统提示文件保护时取消,然后把 TCPIP.SYS.ORIGINAL 改名为 tcpip.sys。

在用瑞星卡卡安全助手删除前3个 O23 项时,发现第1个删了又重生。但用 IceSword 1.12 没有在c:/windows/system32/drivers发现文件 0jj6erv.sys,不过在 Kernel Module 列表中发现了 0jj6erv.sys……

下载了 IceSword 1.22 中文版,还是看不到磁盘上的文件,也无法删除 其服务启动项,禁用也不行。

可惜bat_do 无法下载,没法删除。

重启电脑到安全模式,换了一个用户登录,再次启动IceSword 1.22 中文版,终于在c:/windows/system32/drivers 看到了 0jj6erv.sys,先复制了一个打包备份,然后强制删除。

重启电脑,再用瑞星卡卡安全助手删除O23 - 服务: 0jj6erv (0jj6erv),搞定。
开机也不再提示找不到文件 f5bk37q187.dll了。

由于 0jj6erv.sys 作驱动程序被windows加载后会隐藏自身在磁盘上的文件,所以进入桌面后,杀毒软件也无法扫描出来,看来对付这类病毒,得用开机扫描才行了。

文件说明符 : D:/test/ojj6erv.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-27 13:10:8
修改时间 : 2007-11-27 13:10:26
访问时间 : 2007-11-27 13:10:35
大小 : 23104 字节 22.576 KB
MD5 : a2bad1749c3cf2c7d7190b7f140a9619
SHA1: 6C382CA9F73F7E0CEE5F342C5CC4ED0F82C094A8
CRC32: 1579b0b3

Kaspersky 已检测到: 木马程序 Trojan-Downloader.Win32.Hmir.hw 文件: D:/test/ojj6erv.sys.rar/ojj6erv.sys

瑞星报为 Trojan.Win32.Mnless.zpc 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于winpcap和syn的dos攻击,亲测
繁华落尽梦一场
04-21 3904
网上这样的帖子很多,但有几个问题一直没解决。 1、在计算TCP报头的校验和时应该还有伪报头,很多人都没有。 2、在封装以太网数据包时需要用到目的地址的mac地址,由于很多人是在虚拟机上测,目的mac也就知道,但事实上,对于真正的远端主机来说,我们只能获取它的IP地址,而mac地址是无法获取的。而事实上,这儿的目标mac应该写的是网关mac地址。 下面看我一步一步写syn攻击。 一、首先要清
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
gdfyug的博客
02-18 698
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
出现Driver Wizard停止工作的问题分析
weixin_59751026的博客
10-21 1884
出现Driver Wizard停止工作的问题分析,可以来涨下知识
Trojan.DL.Win32.Hmir.hl的清除方法 采用驱动提供服务的木马病毒
dbjtimve93993的博客
12-11 285
花了我一天时间解决的木马,确实很难找 1、通过瑞星查毒发现c:\windows\system32\30pzg8d.dll文件感染Trojan.DL.Win32.Hmir.hl但是删除不了,只好通过冰刃icesword强制删除。 3、删除后重启,rundll提示找不到30pzg8d.dll模块,说明还有服务或者启动项在调用30pzg8d.dll 4、接着在冰刃ices...
安全稳定的实现进线程监控.zip_MyCopyHook.rar_create process_sys文件_监视 进程_驱动进程监
09-24
后来才发现,在运行icesword后释放出一个detport.sys文件,然后一直在系统中存在着没有卸载掉.只是把它隐藏了而已^_^.这不是个好消息,难道我为了测试一个驱动,测试一次就得重启一次吗?呵呵,肯定不是啊,所以想办法搞定...
安全相关-病毒防治-冰刃icesword win7 v1.zip
08-12
解压下载的zip压缩包后,找到“冰刃icesword win7 v1.22”文件夹,双击运行“icesword.exe”启动程序。 **二、主要功能** 1. **进程管理**:冰刃icesword提供详细的进程列表,包括隐藏的进程,用户可以查看每个...
安全相关-病毒防治-冰刃icesword win7 v1.zip.zip
09-15
计算机网络安全相关
计算机病毒与防护:IceSword冰刃使用教程.pdf
06-10
2. **设置运行**:运行IceSword.exe,如果遇到问题,尝试以随机文件名重命名。在"文件"菜单中选择"设置",勾选底部的三个选项,并确认设置。请注意,设置后将无法开启新程序。如果需要配合其他软件(如SREng)分析...
Icesword-Source.rar_icesword
09-14
《冰刃(IceSword)源码解析及技术探讨》 IceSword,又被称为“冰刃”,是一款在IT安全领域具有广泛影响力的系统检测与分析工具。它以其强大的功能和深度的系统探测能力,深受安全研究人员和系统管理员的喜爱。本文将...
微软AI业务最新营收数据情况(2024年7月)
u012842807的专栏
08-04 397
微软AI业务最新营收数据情况(2024年7月)
小试牛刀-walletconnect二维码及交互
CodeBlocks的博客
08-05 1984
最近在使用walletconnect协议和typescript语言实现相关交互功能,在此对从walletconnet协议二维码生成、连接后发送交易事务、签名事务、签名任意信息的处理进行记录,加深对walletconnect的理解,熟悉对其组件的使用,同时希望帮助到有实现相关功能的朋友。
进程的等待(非阻塞轮询+阻塞)和替换控制详解
2301_77754590的博客
08-07 1205
在Linux系统中,进程管理是核心功能之一。理解进程的创建、执行和终止是系统编程中的基础。本文将深入探讨Linux中的进程控制机制,包括进程的生命周期、父子进程的交互、以及进程状态的管理
【C++ STL】list
Z1tai的博客
08-04 930
list是 C++ STL 中的双向链表容器,它能够高效地支持元素的插入和删除操作,即使在容器中间。每个节点存储数据以及指向前一个和后一个节点的指针,这种特性使得 list 在需要频繁插入和删除元素时表现优秀。与 vector 不同,list 的内存空间不是连续的,因此随机访问效率较低(时间复杂度为 O(n)),但它提供了双向遍历的能力。list 还支持逆向迭代器,允许从尾部向头部遍历列表。
Linux学习笔记:Linux基础知识汇总(个人复习版)
欢迎相互探讨交流知识呀~
08-05 1130
使用fdisk -l查看分区挂载情况,或者查看/etc/mtab文件,然后找到最接近的挂载点信息。4、创建站点主页 【eg.在/var/www/html内新建index.html】write_enable=YES//ftp可写,即上传权限;下载权限是默认赋予的。将数据同步写入硬盘中的指令,在关机之前输入,可以多输几次。使用df命令,如df -h,查看磁盘分区的挂载点。使用lsblk命令,查看系统的磁盘设备使用情况。-a:显示所有文件(包括隐藏文件),简洁版。-R:显示所有文件以及子目录下文件,简洁版。
美股文本信息抽取
最新发布
cts618
08-07 117
美股文本信息抽取
深入理解Java集合框架
2302_80084329的博客
08-04 480
Java集合框架是开发中非常重要的部分,它提供了一组用于存储和操作数据的类和接口。通过学习Java集合,我们可以更加灵活高效地处理数据。
PYTHON专题-(6)python基础的一些高级特性
qq_41914036的博客
08-04 1245
python基础的一些高级特性
07.FreeRTOS列表与列表项
L的博客
08-05 826
本文涉及FreeRTOS列表与列表项。包括列表和列表项的简介、列表相关API函数、代码验证。
【初阶数据结构题目】10. 链表的回文结构
hlyd520的博客
08-04 426
思路1:创建新的数组,遍历原链表,遍历原链表,将链表节点中的值放入数组中,在数组中判断是否为回文结构。设置数组来存储链表,设置数组头指针。指向的数是否相等,相等就。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值